Google вводит более строгие правила для разработчиков расширений Chrome, шаг должен уменьшить риск криптовалютных взломов и разработки вредоносных программ.
Технологический гигант планирует серию изменений в том, как Chrome обрабатывает расширения, требующих большого числа разрешений, а также ужесточает правила для разработчиков, распространяющих расширения через Интернет-магазин Chrome.
Google пишет в своем блоге:
Крайне важно, чтобы пользователи могли доверять расширениям, которые они устанавливают, чтобы они оставались безопасны, сохраняли конфиденциальность и работали. Пользователи должны всегда иметь полную прозрачность в отношении возможностей установленных расширений и их доступа к данным.
«Начиная с Chrome 70 (в настоящее время, работает в бета-версии) пользователи будут иметь возможность ограничить доступ расширений к пользовательскому списку сайтов и смогут устанавливать политики, чтобы расширения запрашивали разрешения каждый раз, когда им нужно получить доступ к странице», — объясняет компания.
Google добавляет, что расширения, запрашивающие «значимые разрешения», будут подвергаться «дополнительной проверке соответствия», уточняя:
Мы также очень внимательно изучаем расширения, которые используют удаленно размещенный код, с постоянным мониторингом.
Фирма объясняет: «В то время как разрешения хоста позволили использовать тысячи мощных и творческих расширений, они также привели к широкому спектру неправильного использования — как злонамеренного, так и непреднамеренного. Наша цель — повысить прозрачность и контроль со стороны пользователя в тех случаях, когда расширения могут получить доступ к данным».
Google также сообщил, что с 1 октября Chrome Web Store запретил расширения со скрытым или обфускационным кодом. «Существующие расширения с подобными решениями имеют 90 дней, чтобы привести код в соответствие с новыми правилами», — добавляет компания.
Согласно сообщению, более 70% «вредоносных и политически нарушающих расширений», которые Google блокирует в своем интернет-магазине, содержат обфускацию кода. Кроме того, поскольку обфускация «в основном используется для сокрытия функциональности кода», это значительно увеличивает сложность процесса проверки расширений Google.
Google заявляет:
Это больше не приемлемо, вышеупомянутые изменения в процессе рассмотрения.
И в соответствии с окончательно принятыми мерами безопасности, в 2019 году все учетные записи разработчиков расширений должны быть защищены с помощью двухэтапной аутентификации, чтобы снизить риск взлома аккаунта.
В прошлом расширения Chrome использовались кибер-преступниками для обеспечения доступа к ПК жертв. Например, всего месяц назад хакеры загрузили вредоносную версию расширения Mega в интернет-магазин Google. «Люди, которые использовали официальный установщик в течение следующих нескольких часов, скомпрометировали свои учетные записи, — пишет ZDNet, — включая пользователей кошельков MyEtherWallet и MyMonero и децентрализованной биржи IDEX».
Google также был вынужден ввести меры против расширений, которые использовали устройства пользователей для майнинга криптовалюты без их ведома. В апреле веб-магазин компании заблокировал все расширения, которые майнят криптовалюты.
Комментарии